Tails.
Tails è ottimo per questo scopo; non c'è nulla di cui preoccuparsi anche se si utilizza un disco SSD. Se si spegne l'unità, tutto sparisce non appena la memoria decade.
Whonix.
Si noti che è possibile eseguire Whonix in modalità Live senza lasciare tracce quando si chiudono le macchine virtuali; si consiglia di leggere la documentazione qui
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] e qui
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Sistema operativo guest.
Tornare a un'istantanea precedente di Virtualbox (o di qualsiasi altro software VM in uso) ed eseguire un comando Trim sul Mac utilizzando Utility Disco, eseguendo nuovamente un first-aid sul sistema operativo host come spiegato alla fine della prossima sezione.
Sistema operativo host.
La maggior parte delle informazioni di questa sezione può essere trovata anche in questa bella guida
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
Database di quarantena (utilizzato da Gatekeeper e XProtect).
MacOS (fino a Big Sur incluso) conserva un database SQL di quarantena di tutti i file scaricati da un browser. Questo database si trova in ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Potete interrogarlo voi stessi eseguendo il seguente comando da terminale: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent".
Ovviamente, si tratta di una miniera d'oro per la scienza forense e dovreste disabilitarla:
- Eseguite il seguente comando per cancellare completamente il database: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Eseguire il seguente comando per bloccare il file e impedire che vi venga scritta ulteriore cronologia dei download: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Infine, potete anche disabilitare del tutto Gatekeeper lanciando il seguente comando nel terminale:
- sudo spctl --master-disable
Per ulteriori informazioni, consultare questa sezione della guida
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org].
In aggiunta a questo comodo database, ogni file salvato conterrà anche attributi dettagliati del file system HFS+/APFS che mostrano, ad esempio, quando è stato scaricato, con cosa e da dove.
È possibile visualizzarli semplicemente aprendo un terminale e digitando mdls filename e xattr -l filename su qualsiasi file scaricato da qualsiasi browser.
Per rimuovere tali attributi, è necessario farlo manualmente dal terminale:
- Eseguite xattr -d com.apple.metadata:kMDItemWhereFroms filename per rimuovere l'origine
- Si può anche usare semplicemente -dr per farlo in modo ricorsivo su un'intera cartella/disco
- Eseguire xattr -d com.apple.quarantine nome file per rimuovere il riferimento alla quarantena
- Si può anche usare semplicemente -dr per farlo in modo ricorsivo su un'intera cartella/disco
- Verificate eseguendo xattr --l nome file e non dovrebbe esserci alcun risultato.
(Si noti che Apple ha rimosso la comoda opzione xattr -c che rimuoveva tutti gli attributi in una volta sola, quindi dovrete eseguire questa operazione per ogni attributo su ogni file).
Questi attributi e voci rimarranno anche se si cancella la cronologia del browser e questo è ovviamente negativo per la privacy (giusto?) e al momento non sono a conoscenza di alcuno strumento conveniente che li gestisca.
Fortunatamente, esistono alcune mitigazioni per evitare questo problema in primo luogo, poiché questi attributi e voci sono impostati dai browser. Ho quindi testato diversi browser (su MacOS Catalina e Big Sur) ed ecco i risultati alla data di questa guida:
| Browser | Voce del DB di quarantena | Attributo del file di quarantena | Attributo del file di origine |
|---|
| Safari (normale) | Sì | Sì | Sì |
| Safari (finestra privata) | No | No | No |
| Firefox (normale) | Sì | Sì | Sì |
| Firefox (finestra privata) | No | No | No |
| Chrome (normale) | Sì | Sì | Sì |
| Chrome (finestra privata) | Parziale (solo timestamp) | No | No |
| Ungoogled-Chromium (normale) | No | No | No |
| Ungoogled-Chromium (finestra privata) | No | No | No |
| Coraggioso (normale) | Parziale (solo timestamp) | No | No |
| Brave (finestra privata) | Parziale (solo timestamp) | No | No |
| Brave (finestra Tor) | Parziale (solo timestamp) | No | No |
| Browser Tor | No | No | No |
Come potete vedere voi stessi, la soluzione più semplice è quella di utilizzare Windows privato. Questi non scrivono gli attributi di origine/quarantena e non memorizzano le voci nel database QuarantineEventsV2.
Cancellare QuarantineEventsV2 è facile come spiegato sopra. La rimozione degli attributi richiede un po' di lavoro.
Brave è l'unico browser testato che non memorizza tali attributi per impostazione predefinita durante le normali operazioni.
Vari artefatti.
Inoltre, MacOS conserva vari registri dei dispositivi montati, dei dispositivi connessi, delle reti conosciute, delle analisi, delle revisioni dei documenti, ecc.
Consultate questa sezione della guida per sapere dove trovare e come eliminare tali artefatti:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org].
Molti di questi possono essere eliminati utilizzando alcuni strumenti commerciali di terze parti, ma personalmente consiglio di utilizzare il noto e gratuito Onyx, che potete trovare qui:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Purtroppo è closed-source, ma è autenticato, firmato e affidabile da molti anni.
Forzare un'operazione di Trim dopo la pulizia.
- Se il vostro file system è APFS, non dovete preoccuparvi di Trim, che avviene in modo asincrono mentre il sistema operativo scrive i dati.
- Se il file system è HFS+ (o qualsiasi altro tipo di file diverso da APFS), è possibile eseguire First Aid sull'unità di sistema da Utility Disco che dovrebbe eseguire un'operazione di Trim nei dettagli(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Tenere conto delle loro linee guida
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org].
Se si utilizza Whonix su Qubes OS, si consiglia di seguire alcune delle loro guide:
Linux (non Qubes).
Sistema operativo guest.
Tornare a un'istantanea precedente della macchina virtuale guest su Virtualbox (o su qualsiasi altro software di macchina virtuale in uso) ed eseguire un comando di trim sul portatile usando fstrim --all. Questa utility fa parte del pacchetto util-linux su Debian/Ubuntu e dovrebbe essere installata di default su Fedora. Passate quindi alla sezione successiva.
Sistema operativo ospitante.
Normalmente non si dovrebbero avere tracce da pulire all'interno del sistema operativo host, dal momento che, se si segue questa guida, si fa tutto da una macchina virtuale.
Tuttavia, si potrebbe voler pulire alcuni registri. È sufficiente utilizzare questo comodo strumento:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (le istruzioni sono riportate nella pagina, per il download si rimanda alle release, questo repository è stato recentemente rimosso).
Dopo la pulizia, assicuratevi di avere installato l'utilità fstrim (dovrebbe essere di default su Fedora) e parte del pacchetto util-linux su Debian/Ubuntu. Quindi eseguire fstrim --all sul sistema operativo host. Questo dovrebbe essere sufficiente per le unità SSD, come spiegato in precedenza.
Considerate l'uso di Linux Kernel Guard come misura aggiuntiva
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org].
Windows.
Sistema operativo guest.
Tornare a un'istantanea precedente di Virtualbox (o di qualsiasi altro software VM in uso) ed eseguire un comando di rifinitura su Windows utilizzando l'opzione Ottimizza come spiegato alla fine della prossima sezione.
Sistema operativo host.
Ora che avete svolto una serie di attività con le vostre macchine virtuali o con il sistema operativo host, dovreste prendervi un momento per coprire le vostre tracce.
La maggior parte di questi passaggi non dovrebbe essere eseguita sul sistema operativo Decoy, in caso di utilizzo della plausible deniability. Questo perché si desidera mantenere tracce esca/plausibili di attività sensate ma non segrete a disposizione dell'avversario. Se tutto è pulito, si potrebbero sollevare sospetti.
Dati diagnostici e telemetria.
Per prima cosa eliminiamo tutti i dati diagnostici che potrebbero essere ancora presenti:
(saltare questo passaggio se si utilizza Windows 10 AME)
- Dopo ogni utilizzo dei dispositivi Windows, accedere a Impostazioni, Privacy, Diagnostica e feedback e fare clic su Elimina.
Quindi randomizzare gli indirizzi MAC delle macchine virtuali e l'indirizzo Bluetooth del sistema operativo host.
- Dopo ogni spegnimento della macchina virtuale Windows, modificate il suo indirizzo MAC per la prossima volta andando in Virtualbox > Selezionate la macchina virtuale > Impostazioni > Rete > Avanzate > Aggiorna l'indirizzo MAC.
- Dopo ogni utilizzo del sistema operativo host Windows (la macchina virtuale non dovrebbe avere il Bluetooth), accedere a Gestione dispositivi, selezionare Bluetooth, disattivare il dispositivo e riabilitarlo (in questo modo si forzerà la randomizzazione dell'indirizzo Bluetooth).
Registri eventi.
I registri eventi di Windows conservano molte informazioni che potrebbero contenere tracce delle vostre attività, come i dispositivi montati (compresi i volumi NTFS Veracrypt, ad
esempio294), le connessioni di rete, le informazioni sugli arresti anomali delle applicazioni e vari errori. È sempre meglio pulirli regolarmente. Non eseguire questa operazione su Decoy OS.
- Avviare, cercare Visualizzatore eventi e lanciare Visualizzatore eventi:
- Accedere ai registri di Windows.
- Selezionare e cancellare tutti e 5 i registri facendo clic con il pulsante destro del mouse.
Cronologia di Veracrypt.
Per impostazione predefinita, Veracrypt salva una cronologia dei volumi e dei file montati di recente. È necessario assicurarsi che Veracrypt non salvi mai la Cronologia. Anche in questo caso, non eseguire questa operazione sul sistema operativo Decoy se si utilizza la plausible deniability per il sistema operativo. È necessario mantenere la cronologia del montaggio del volume esca come parte della negazione plausibile.
- Avviare Veracrypt
- Assicuratevi che la casella di controllo "Non salvare mai la cronologia" sia selezionata (non deve essere selezionata sul sistema operativo Decoy).
Ora è necessario pulire la cronologia di tutte le applicazioni utilizzate, compresa la cronologia del browser, i cookie, le password salvate, le sessioni e la cronologia dei moduli.
Cronologia del browser.
- Brave (nel caso in cui non sia stata attivata la pulizia all'uscita)
- Andare in Impostazioni
- Andare in Schermi
- Andare in Cancella dati di navigazione
- Selezionare Avanzate
- Selezionare "Tutto il tempo".
- Selezionare tutte le opzioni
- Cancella dati
- Browser Tor
- Basta chiudere il browser e tutto viene ripulito.
Cronologia Wi-Fi.
Ora è il momento di cancellare la cronologia delle reti Wi-Fi a cui ci si connette. Purtroppo, Windows continua a memorizzare un elenco di reti passate nel registro di sistema, anche se le avete "dimenticate" nelle impostazioni Wi-Fi. Per quanto ne so, non esiste ancora nessuna utility che le pulisca (BleachBit o PrivaZer, per esempio), quindi dovrete farlo manualmente:
- Avviare Regedit utilizzando questo tutorial: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org].
- All'interno di Regedit, inserire questo nella barra degli indirizzi: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- A questo punto si vedrà un gruppo di cartelle a destra. Ciascuna di queste cartelle è una "chiave". Ciascuna di queste chiavi conterrà informazioni sul Wi-Fi attuale o sulle reti utilizzate in passato. È possibile esplorarle una per una e vedere la descrizione sul lato destro.
- Eliminare tutte le chiavi.
Shellbag.
Come spiegato in precedenza, gli Shellbag sono fondamentalmente cronologie di volumi/file accessibili sul computer. Ricordate che le shellbag sono ottime fonti di informazioni per la
forensics287 e che è necessario pulirle. Soprattutto se è stato montato un "volume nascosto" da qualche parte. Ancora una volta, non si dovrebbe fare questo su Decoy OS.
- Scaricare Shellbag Analyzer & Cleaner da https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org].
- Avviatelo
- Analizzare
- Fare clic su Pulisci e selezionare:
- Cartelle eliminate
- Cartelle in rete/dispositivi esterni
- Risultati della ricerca
- Selezionare avanzato
- Selezionare tutte le opzioni tranne le due opzioni di backup (non eseguire il backup)
- Selezionare Pulizia SSD (se si dispone di un'unità SSD)
- Selezionare 1 passaggio (Tutti zero)
- Pulisci
Strumenti extra di pulizia.
Dopo aver pulito le tracce precedenti, è necessario utilizzare anche utility di terze parti che possono essere utilizzate per pulire varie tracce. Queste includono le tracce dei file/cartelle eliminati.
Prima di continuare, consultare l'
Appendice H: Strumenti di pulizia di Windows.
PrivaZer.
Ecco i passaggi per PrivaZer:
- Scaricare e installare PrivaZer da https://privazer.com/en/download.php [Archive.org].
- Eseguire PrivaZer dopo l'installazione
- Non utilizzare la procedura guidata
- Selezionare Utente avanzato
- Selezionare Scansione in profondità e scegliere l'obiettivo
- Selezionare Tutto ciò che si desidera analizzare e premere Scansione
- Selezionare ciò che si desidera pulire (saltare la parte relativa al sacchetto di conchiglie, dato che si è utilizzata l'altra utility per questo)
- Se si utilizza un'unità SSD, si dovrebbe saltare la parte di pulizia dello spazio libero e utilizzare invece la funzione nativa di ottimizzazione di Windows (vedere sotto), che dovrebbe essere più che sufficiente. La userei solo su un'unità HDD.
- (Se è stata selezionata la pulizia dello spazio libero) Selezionare Opzioni di pulizia e assicurarsi che il tipo di archiviazione sia stato rilevato correttamente (HDD o SSD).
- (Se è stata selezionata la pulizia dello spazio libero) All'interno di Opzioni di pulizia (fare attenzione a questa opzione perché cancellerà tutto lo spazio libero sulla partizione selezionata, soprattutto se si sta eseguendo il sistema operativo di richiamo. Non cancellare lo spazio libero o qualsiasi altra cosa sulla seconda partizione per non rischiare di distruggere il sistema operativo nascosto).
- Se si dispone di un'unità SSD:
- Scheda Sovrascrittura sicura: Personalmente, sceglierei la Cancellazione normale + Trim (il Trim stesso dovrebbe essere sufficiente). L'eliminazione sicura con la funzione Trim (1 passaggio) potrebbe essere ridondante ed eccessiva se si intende sovrascrivere comunque lo spazio libero.
- Scheda Spazio libero: Personalmente, e sempre "per sicurezza", selezionerei Pulizia normale, che riempirà l'intero spazio libero con i dati. Non mi fido molto di Smart Cleanup perché non riempie effettivamente tutto lo spazio libero dell'SSD con i dati. Ma ancora una volta, penso che probabilmente non sia necessario e che sia eccessivo nella maggior parte dei casi.
- Se avete un'unità HDD:
- Scheda Sovrascrittura sicura: Sceglierei semplicemente Cancellazione sicura (1 passaggio).
- Spazio libero: Sceglierei Pulizia intelligente perché non c'è motivo di sovrascrivere settori senza dati su un'unità HDD.
- Selezionate Pulizia e scegliete il vostro gusto:
- Turbo Cleanup esegue solo la normale eliminazione (su HDD/SSD) e non pulisce lo spazio libero. Non è sicura né su un HDD né su un SSD.
- Quick Cleanup esegue l'eliminazione sicura (su HDD) e l'eliminazione normale + trim (su SSD), ma non pulisce lo spazio libero. Penso che sia abbastanza sicuro per l'SSD ma non per l'HDD.
- Pulizia normale eseguirà l'eliminazione sicura (su HDD) e l'eliminazione normale + rifinitura (su SSD) e poi pulirà l'intero spazio libero (Smart Cleanup su HDD e Pulizia completa su SSD) e dovrebbe essere sicuro. Credo che questa opzione sia la migliore per l'HDD, ma completamente inutile per l'SSD.
- Fare clic su Pulisci e attendere il completamento della pulizia. Potrebbe volerci un po' di tempo e riempire l'intero spazio libero di dati.
BleachBit.
Ecco i passaggi per BleachBit:
- Ottenere e installare l'ultima versione di BleachBit qui https://www.bleachbit.org/download [Archive.org].
- Eseguire BleachBit
- Pulire almeno tutto ciò che si trova in queste sezioni:
- Scansione profonda
- Windows Defender
- Esplora risorse (compresi gli Shellbag)
- Sistema
- Selezionare qualsiasi altra traccia che si desidera rimuovere dall'elenco
- Anche in questo caso, come per l'utilità precedente, non pulirei lo spazio libero su un'unità SSD perché ritengo che l'utilità "ottimizza" nativa di Windows sia sufficiente (vedere sotto) e che riempire lo spazio libero su un'unità SSD abilitata al trim sia del tutto eccessivo e non necessario.
- Fare clic su Pulisci e attendere. L'operazione richiederà un po' di tempo e riempirà l'intero spazio libero di dati su entrambe le unità HDD e SSD.
Forzare il taglio con Ottimizzazione di Windows (per le unità SSD).
Con questa utility nativa di Windows 10, è possibile attivare un Trim sull'unità SSD che dovrebbe essere più che sufficiente per pulire in modo sicuro tutti i file eliminati che in qualche modo sarebbero sfuggiti al Trim durante l'eliminazione.
Basta aprire Esplora risorse, fare clic con il pulsante destro del mouse sull'unità di sistema e fare clic su Proprietà. Selezionare Strumenti. Fare clic su Ottimizza e poi su Ottimizza di nuovo. Il gioco è fatto. A mio parere, questo è sufficiente.
